郵局 web atm SSL 安全性 - 資安

Ida avatar
By Ida
at 2010-08-02T04:02

Table of Contents


Hello

最近在調查台灣常用金融網站之安全性, 發現郵局網路銀行的伺服器接受 weak
cipher, 尤其是 SSLv2 有缺陷, 應該禁用. 詳細如以下測試報告.

為了維護眾多使用者轉帳與線上交易之安全, 我把這個資料寄給郵局網管
結果鳥都不鳥我...XD

root@www:/home/dbtsai# perl ./ssl-cipher-check.pl webatm.post.gov.tw
Testing webatm.post.gov.tw:443
SSLv3:RC4-MD5 - ENABLED - STRONG 128 bits
SSLv3:DES-CBC3-SHA - ENABLED - STRONG 168 bits
SSLv3:RC4-SHA - ENABLED - STRONG 128 bits
** SSLv3:DES-CBC-SHA - ENABLED - WEAK 56 bits **
** SSLv3:EXP-RC4-MD5 - ENABLED - WEAK 40 bits **
** SSLv3:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
SSLv3:AES128-SHA - ENABLED - STRONG 128 bits
SSLv3:AES256-SHA - ENABLED - STRONG 256 bits


** SSLv2:RC4-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:RC2-CBC-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:DES-CBC-MD5 - ENABLED - WEAK 56 bits **
** SSLv2:EXP-RC4-MD5 - ENABLED - WEAK 40 bits ** (這這這,不是給有心人機會嗎?)
** SSLv2:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
** SSLv2:DES-CBC3-MD5 - ENABLED - WEAK 168 bits **

*WARNING* 9 WEAK Ciphers Enabled.
Total Ciphers Enabled: 14

--

Tsai, Dong-Bang 蔡東邦
-----------------------------------
Blog: http://www.dbtsai.com/blog

--
Tags: 資安

All Comments

Dinah avatar
By Dinah
at 2010-08-06T19:54
因為修改上的不方便吧 反正出包了再搓圓就好...
Ula avatar
By Ula
at 2010-08-11T17:54
這年頭好像要找民代或週刊爆料別人才會鳥你
Kama avatar
By Kama
at 2010-08-12T23:10
金融單位是因為有神秘的客戶需要,所以非保留此支援
某些單位被這些客戶抗議過
Ophelia avatar
By Ophelia
at 2010-08-14T12:47
客戶端可以強制關 SSLv2
Mia avatar
By Mia
at 2010-08-19T01:29
神秘的客戶需要 => 客戶端不能關 SSLv2
Xanthe avatar
By Xanthe
at 2010-08-20T10:49
樓上你是指伺服器端吧 = = IE7 FF2 以上都預設已關閉了
Xanthe avatar
By Xanthe
at 2010-08-21T08:44
當然是指client端,伺服器端是金融單位在負責的
Isla avatar
By Isla
at 2010-08-26T04:55
注意client端不有只有瀏覽器,也不是每個client都一定裝
近代的的OS和瀏覽器....
Bennie avatar
By Bennie
at 2010-08-28T21:27
所以保留啊 = = 對近代OS 跟瀏覽器又沒影響

有關資安職業的問題

Zenobia avatar
By Zenobia
at 2010-08-01T14:31
唔~其實這算條不歸路吧~and#34;~ 我也是唸資管出身的 在ccna很少人有時我就考到了 後來跑去某校的電算中心當助理~唔~也沒學到甚鬼 一堆硬體 人家打死不給你碰 也不能玩 就悶悶的過了一年了 接著就跑去台北某純資訊業公司當個機房op 那時才發現 喔~整個機房管理也算資安的一部份 很多人以為 ...

有關資安職業的問題

Dorothy avatar
By Dorothy
at 2010-07-29T23:09
很感謝您的回答~~ 不過我還有些問題~~ 例如像有一種職業是叫資訊安全分析師(information security analyst)~ 這個職業在台灣多嗎~? 入門需要哪些要求呢~? 還有像您說的auditor是怎樣的職業~~需要用到資安哪些知識呢? 謝謝~~ ※ 引述《rambus (秋夜梧桐雨 ...

有關資安職業的問題

Hedda avatar
By Hedda
at 2010-07-29T21:25
我也有類似的問題想請教板上先進,因此借用這標題發問,希望原post不要介意。 1. 該有怎樣的知識才好進入這個領域 ? (以Network Security、Antivirus方面來講) 我知道這有點大栽問,畢竟有要防護的東西,便有Security的領域存在。我自己 是資管出身,學校所教的相關知 ...

台北這邊有什麼地方有在開關於駭客的課程嗎

Anonymous avatar
By Anonymous
at 2010-07-29T11:56
我對這方面很有興趣 目前C 還可以 會一些組合 但是不知道該怎麼起步 或是說看了一些書 都是片緞片段的 怎麼說? 有點像高中在填鴨 換個樣子就不太知道怎麼操作 有大大可以指點一下嗎 謝謝~ - ...

有關資安職業的問題

Mary avatar
By Mary
at 2010-07-28T09:57
其實資安的工作還蠻多元化的 不過現在台灣很多工作都需要工作經驗 沒有工作經驗也的確不是那樣容易 但不代表沒有機會 同時 這類型的工作多半強調自我進修的能力和企圖心 所以 有證照的確會有加效果 加分的點不是強調你有多少技術能力 往往是加分在你對這個職業的企圖心 簡單來說 工作可以分為幾種: 1.甲 ...